Размещено 14.12.2017 13:03:29
| Цитата |
|---|
| Станислав жеребятев написал: "если у вас сохранился источник шифратора (из почты, или из сети)"-кроме письма , по большому счету ничего и не было ( . как должен выглядеть объект , который мне следует искать? |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
подозрение на заражение системы
Не открываются сайты, главная
Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)
Размещено 14.12.2017 12:49:52
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Размещено 14.12.2017 10:58:55
| Цитата |
|---|
| Александр Парников написал: Ваши файлы были зaшифрованы.Чтобы расшuфрoвaть иx, Вам необxодимо omпрaвumь koд:AB52E8AF8F914A032643|856|7|2 |
судя по образу автозапуска, в системе уже нет тел шифратора.
расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий.
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов станет возможно станет возможной в будущем.
если у вас сохранился источник шифратора (из почты, или из сети), вышлите в почту [email protected] в архиве с паролем infected
Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)
Размещено 14.12.2017 04:42:40
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9 delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9 delall %SystemDrive%\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS apply deltmp delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Закрыто] BAT.Encoder
Размещено 13.12.2017 06:48:49
получены secring.gpg с id
и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.
| Цитата |
|---|
| 0x6E697C70/0xDF907172 uncrypt <[email protected]>, 0xE71BDC55/0x63D1F277 unlock <[email protected]> |
и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.
| Цитата |
|---|
| gpg: зашифровано 1024-битным ключом RSA с идентификатором 2BECECA6DF907172, созданным 30.06.2014 "uncrypt <[email protected]>" File: C:\DATA\decrypt\files\bat encoder\CRYPT\DF907172\1\DSCN3637.JPG.crypt Time: 13.12.2017 10:19:37 (13.12.2017 3:19:37 UTC) gpg: зашифровано 1024-битным ключом RSA с идентификатором 57DCC0A163D1F277, созданным 17.07.2014 "unlock <[email protected]>" File: C:\DATA\decrypt\files\bat encoder\GOOD\57DCC0A163D1F277\10\Katalog-06.pdf.good Time: 13.12.2017 10:22:56 (13.12.2017 3:22:56 UTC) |
Block object,множественные угрозы,троян Помогите..
Размещено 09.12.2017 18:26:11
@Юрий Asmodeus,
судя по этому сообщению:
вас атакуют из внешней сети, эксплуатируя уязвимость CVE-2017-0147.A, т.е. EternalBlue
необходимо установить патч MS-2017-010 (для вашей системы) чтобы защитить систему от внешних атак.
а затем.
добавьте образ автозапуска системы для ее проверки.
(ссылка на инструкцию в моей подписи).
+
добавлю, что образ автозапуска можно сделать из безопасного режима системы (safe mode)
+
судя по этому сообщению:
| Цитата |
|---|
| 1.Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь 09.12.2017 15:36:29;Защита в режиме реального времени;файл;C:\WINDOWS\mssecsvc.exe;Win32/Exploit.CVE-2017-0147.A троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (E52E39D7CA4DC31C517106BB143A8F5F2CADDBC9).;05CEBFDB6729ED57CA111AE18B645335AF7CF006;09.12.2017 15:36:26 |
необходимо установить патч MS-2017-010 (для вашей системы) чтобы защитить систему от внешних атак.
а затем.
добавьте образ автозапуска системы для ее проверки.
(ссылка на инструкцию в моей подписи).
+
добавлю, что образ автозапуска можно сделать из безопасного режима системы (safe mode)
+
[ Закрыто] Не устанавливается антивирус/ проблемы и ошибки при установке, главная
Размещено 07.12.2017 12:58:31
| Цитата |
|---|
| Людмила Трифонова написал: При переустановке нотбука ESET нет, подскажите как заново установить. Вчера оплатили продление лицензии. |
если вы переустановили систему, то необходимо заново установить антивирусную программу.
скачайте актуальную версию дистрибутив программы с оф. сайта ESET.
Предложение по улучшению форума
Предложение по улучшению форума